Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS. Version 1.5

Größe: px
Ab Seite anzeigen:

Download "Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS. Version 1.5"

Transkript

1 Kurzstudie zu Gefährdungen und Maßnahmen beim Einsatz von MPLS Version 1.5

2 Bundesamt für Sicherheit in der Informationstechnik Postfach Bonn Tel.: Internet: https://www.bsi.bund.de Bundesamt für Sicherheit in der Informationstechnik 2009

3 Danksagung Danksagung Das BSI dankt der Firma T-Systems, besonders Herrn Lutz Emrich und Herrn Dr. Eric Hildebrandt, für die Mitwirkung bei der Erstellung dieser Kurzstudie. Auf Seite des BSI haben Frau Mechthild Schütz, Herr Bernd Becker und Herr Dr. Harald Niggemann das Projekt betreut. Es sei allen gedankt, die dieses Werk ermöglicht und begleitet haben. Bundesamt für Sicherheit in der Informationstechnik 3

4 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Grundlagen der MPLS-Technik MPLS-Nomenklatur MPLS-Überblick MPLS-Architektur Sicherheitsbetrachtung MPLS Gefährdungen bei der Nutzung von MPLS-Infrastrukturen Austritt markierter MPLS-Pakete aus dem VPN Injizieren unberechtigter Pakete aus einem MPLS-VPN in ein anderes MPLS-VPN Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN Anbinden eines unberechtigten CE-Routers durch Fehlkonfiguration Anbinden eines unberechtigten CE-Routers im Transportnetz eines anderen Netzdienstleisters Sichtbarkeit der logischen Struktur des Provider-Netzes Vermischung des Datenverkehrs verschiedener Kundennetze Denial-of-Service-Angriff auf PE-Router Denial-of-Service-Angriff aus dem Internet Denial-of-Service-Angriffe auf das Routing-Protokoll BGP im Core Denial-of-Service-Angriffe auf VPNs durch Routing-Updates Denial-of-Service durch Ausfall des Transportnetzes Sicherheitsmaßnahmen für MPLS-Netze Programmierung sicherer Software / Firmware, Zertifizierungen Verhindern von MPLS-Label-Spoofing Zuverlässigkeit des Dienstleisterpersonals Zuverlässigkeit verbundener MPLS-Carrier Einsatz von Netzüberwachungssystemen Sichere Kopplung von Netzdienstleistern Deaktivierung von MPLS-Traceroute-Funktionen Separierung des Datenverkehrs verschiedener Kunden-VPNs Schutz des PE-Routers Verstecken der IP-Adresse des PE-Routers Internet-Übergang als eigenes MPLS-VPN Sichere Konfiguration von BGP Etablierung von Schwellwert-Alarmen Anwendung von "Best Practice"-Empfehlungen für die Konfiguration der MPLS-Router Redundanz zum Schutz der Verfügbarkeit in MPLS-Netzen Nutzung einer dedizierten MPLS-Infrastruktur Programmieren und Einspielen von Software-Patches Nutzung von IPSec-Tunneln über MPLS-Verbindungen Bundesamt für Sicherheit in der Informationstechnik

5 Inhaltsverzeichnis 4.19 MPLS-Core ohne Internet-Konnektivität Verbindungstest nach Anbinden eines VPN-Standorts Erstellen eines Label-Konzepts Auswahl geeigneter Netzkomponenten Konzeption des MPLS-Netzes Rollout-Konzept Restrisiken Ausblick und zukünftige Bedrohungen Next Generation Networks (NGN) Generalized Multi-Protocol Label Switching (GMPLS) Anhang Kreuzreferenz-Tabelle Abkürzungsverzeichnis Referenzen...45 Abbildungsverzeichnis Abbildung 1: IP-Datagramme werden am Ingress-Router (links) mit einem MPLS-Label versehen, das am Egress-Router (rechts) wieder entfernt wird...10 Abbildung 2: Pakete werden von jedem LSR entsprechend seiner LSP-Tabelle neu "gelabeled"...11 Abbildung 3: Der LSP ergibt sich aus der CE-CE-Strecke über die LSR...11 Abbildung 4: Die PE-Systeme können mit CE verschiedener Kundennetze verbunden sein...12 Abbildung 5: Auf den PE werden die Routen innerhalb separater VRF-Instanzen (VPN Routing / Forwarding) getrennt verwaltet...13 Abbildung 6: Über unterschiedliche Sub-Interfaces werden die angebundenen CEs den VRFs zugeordnet...13 Abbildung 7: Schematische Darstellung eines MPLS-Netzes...15 Abbildung 8: Abgrenzung der Verantwortungsbereiche zwischen Kunde und Provider...16 Tabellenverzeichnis Tabelle 1: MPLS-Nomenklatur...10 Tabelle 2: Übersicht über die spezifischen Gefährdungen bei der Nutzung von MPLS-Netzen...20 Tabelle 3: Überblick über die Sicherheitsmaßnahmen für die Nutzung von MPLS...27 Tabelle 4: Kreuzreferenzen - Spezifische Sicherheitsmaßnahmen für MPLS...42 Bundesamt für Sicherheit in der Informationstechnik 5

6

7 Einleitung 1 Einleitung Bei der Vernetzung von Standorten greifen Kunden, wie z. B. Behörden und Unternehmen, aus Gründen der Wirtschaftlichkeit meist auf Angebote von Telekommunikationsdienstleistern (Provider, Carrier, Netzdienstleister) zurück. Der Datentransport kann dabei unter Nutzung verschiedener Weitverkehrstechniken, wie z. B. ATM, Frame Relay, "Leased Lines", realisiert werden. Heute existierende, moderne Providernetze werden zum größten Teil auf Basis des MPLS- Übertragungsprotokolls (Multi-Protocol Label Switching) realisiert [4]. Gegenüber den "traditionellen" Netztechniken bietet MPLS die folgenden Vorteile: - Im Vergleich zu IP-Routing geschieht der Datentransport durch Providernetze ressourcenschonender, weil im MPLS-Backbone auf Routing-Entscheidungen verzichtet werden kann. - Vereinfachte und damit schnellere Bereitstellungs- und Betriebsprozesse. - Verbesserte QoS-Eigenschaften (Quality-of-Service). - Weniger "Protokoll-Overhead" im Vergleich zu ATM. Die Nutzung einer MPLS-Infrastruktur eines Netzdienstleisters ermöglicht Kunden die Anbindung seiner räumlich entfernt liegenden Standorte über ein virtuelles privates Netz. Über das MPLS-Netz wird der Datenverkehr mehrerer Kundennetze, innerhalb eigener virtueller privater Netze (VPN), parallel übertragen. Das MPLS-Transportnetz stellt aus dieser Perspektive ein geteiltes Transportmedium dar, im Unterschied zur exklusiven Nutzung so genannter "Leased Lines" [3]. Dadurch entstehen Bedrohungen, die sowohl für Provider als auch für Behörden und Unternehmen relevant sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als IT-Sicherheitsbehörde des Bundes unter anderem mit der Absicherung von behördlichen Netzinfrastrukturen betraut. Innerhalb solcher Netzstrukturen werden im großen Umfang die Techniken DWDM (Dense Wavelength Division Multiplexing) und MPLS (Multi-Protocol Label Switching) zur Datenübertragung genutzt, oder deren Nutzung ist für die Zukunft vorgesehen. Die sichere Anwendung dieser Übertragungstechniken ist eine notwendige Voraussetzung für die Gesamtsicherheit der nationalen Netzinfrastrukturen und der daran angebundenen Systeme. Die Sicherheitskonzeption der Netzarchitekturen kann grundsätzlich anhand der existierenden BSI- Standards zur Informationssicherheit [12] vorgenommen werden. Die IT-Grundschutz-Kataloge [13] enthalten zurzeit aber keinen speziellen Baustein zu dem Themenbereich MPLS. Aus diesem Grund wurde die Firma T-Systems durch das BSI beauftragt, im Rahmen dieser Kurzstudie eine Sicherheitsanalyse für die Technik MPLS zu erstellen. Diese Sicherheitsanalyse berücksichtigt die verfügbaren Sicherheitsmechanismen und die relevanten Gefährdungen beim Einsatz von MPLS. Das vorliegende Dokument enthält das Studienergebnis der Bedrohungen, die sich aus der Nutzung des Übertragungsprotokolls MPLS ergeben. Diese Studie beschreibt die damit verbundenen Gefährdungen und leitet, in Anlehnung an die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI), Maßnahmen daraus ab. Gefährdungen und Maßnahmen, die bereits heute in den IT-Grundschutz-Katalogen aufgeführt sind, werden in der vorliegenden Studie nicht betrachtet. Zum Thema DWDM wurde eine vergleichbare Studie erstellt. Diese Studie kann von Netz-Dienstleistern und deren Auftraggebern für technische Bewertungen des Sicherheitsniveaus verwendet werden. Bundesamt für Sicherheit in der Informationstechnik 7

8 Grundlagen der MPLS-Technik 2 Grundlagen der MPLS-Technik Multi-Protocol Label Switching kombiniert die positiven Eigenschaften von Switching mit Routing auf einem Netzknoten. MPLS ist zwischen den Schichten 2 und 3 des OSI-Schichtenmodells angesiedelt (Layer "2,5"). - OSI-Schicht 3: IP - OSI-Schicht 2-3: MPLS - OSI-Schicht 2: ATM, FR, Ethernet Daten-Frames auf der Schicht 2 werden "geswitcht". Dabei wird der Frame anhand einer Tabelle einer Ausgangsschnittstelle zugeordnet. Für diesen Vorgang wird dem Prozessor des Netzknotens keine Rechenzeit abverlangt. Datagramme auf Schicht 3 werden "geroutet". Für die "Routing- Entscheidung" muss jeweils anhand einer "Forwarding-Tabelle" der "Next Hop" ermittelt werden. Dieser Vorgang beansprucht Rechenleistung. 2.1 MPLS-Nomenklatur Es existieren unterschiedliche Auffassungen darüber, was ein VPN kennzeichnet. Demnach wird ein VPN beispielsweise verstanden als: - Privates Netz durch die logische Trennung der transportierten Kundendaten. Beispiele dafür sind die auf Schicht 2 bzw. 2,5 des OSI-Schichtenmodells angesiedelten Transportprotokolle wie: - ATM - Frame Relay - MPLS - Diese Techniken werden als Layer-2-VPN bezeichnet. Diese Transportnetze sind vollkommen unabhängig vom öffentlich zugänglichen Internet. Layer-2-VPN weisen sich durch definierte Qualitätsparameter (Quality of Service, QoS) aus. Dies betrifft sowohl die zur Verfügung stehende Bandbreite als auch die mit dem Service-Provider vereinbarten "Service Level Agreements" (SLA). - Privates Netz durch den Einsatz von Verschlüsselung. Beispiele dafür sind die auf den Schichten 3-7 angesiedelten Protokolle: - IPSec - Transport Layer Security / Secure Sockets Layer (TLS/SSL) - Secure Shell (SSH) - Diese Techniken werden als Layer-3-VPN oder höher bezeichnet. Verschlüsselte Layer-3-VPN gewährleisten den Schutz der Vertraulichkeit und werden daher oftmals für Verbindungen über 8 Bundesamt für Sicherheit in der Informationstechnik

9 Grundlagen der MPLS-Technik das Internet verwendet. Internet-VPN gelten als günstig und flexibel, mit Schwächen im Bereich der Verfügbarkeit. Weitere Unterscheidungsmerkmale in Bezug auf VPN sind: - Verbindungsorientierte Techniken wie - ATM - Frame Relay - L2TP - GRE und - Verbindungslose Techniken wie - MPLS In verbindungsorientierten Netzen sind die beteiligten Netzkomponenten über so genannte Punktzu-Punkt- oder Punkt-zu-Mehrpunkt-Architekturen verbunden. Die Kommunikationsteilnehmer erreichen sich dadurch über zentrale Netzknoten. In verbindungslosen Netzen ist dagegen von "Any-to-Any"-Kommunikation die Rede. Alle Kommunikationsteilnehmer können dabei auf der logischen (IP-)Ebene direkt miteinander kommunizieren. Trotzdem kann der verbindungslose Charakter "gerouteter" IP-Netze beibehalten werden, indem sich alle IP-Segmente eines VPN direkt erreichen können. Das RFC 4364 [2] "BGP/MPLS IP Virtual Private Networks (VPNs)" definiert die Nomenklatur und die Begriffe im Bereich der MPLS-basierten VPNs. Darin ist beschrieben, auf welche Art und Weise VPN-Provider-Dienste eingehende IP- Datagramme aus den Netzsegmenten der Kunden entgegennehmen, um die Daten zu anderen Netzsegmenten des Kunden zu transportieren. Tabelle 1 gibt einige wichtige Begriffe der Nomenklatur für MPLS wieder. Begriff im RFC 4364 Beschreibung Abkürzung service provider customer core network Provider oder Netz-Dienstleister, der Kunden Transportleistungen über sein MPLS-Netz zur Verfügung stellt. Kunde, der Transportleistungen über das MPLS-Netz des Providers nutzt. Transportnetz, Core oder Backbone, über das die Kunden ihre Standorte verbinden. SP Bundesamt für Sicherheit in der Informationstechnik 9

10 Grundlagen der MPLS-Technik Begriff im RFC 4364 Beschreibung Abkürzung customer edge router provider edge router provider router Tabelle 1: MPLS-Nomenklatur Der CE bietet die Anschluss-Schnittstelle für die Kunden und wird üblicherweise in Räumlichkeiten des Kunden betrieben. Der CE wird mit dem PE des Providers verbunden. Der PE bindet die CE an den MPLS-Core an. An einem PE werden meist mehrere CE unterschiedlicher Kunden-VPN angebunden. Netzknoten innerhalb des MPLS-Core. Das sind alle Netzknoten innerhalb des MPLS-Netzes, die nicht direkt mit CE-Routern verbunden sind. CE PE P Die verwendeten Abkürzungen werden im Anhang 7.2 aufgelistet oder im Text erläutert. 2.2 MPLS-Überblick MPLS nutzt das so genannte "Label Switching"-Verfahren, um Daten durch das Netz zu transportieren. Router innerhalb des MPLS-Netzes verarbeiten die Label und werden als Label Switch Router (LSR) bezeichnet. Die IP-Datagramme werden am "Ingress-Router" (Eingangsrouter) erstmalig mit einem MPLS-Label (Header) versehen, das am Ausgangsrouter (Egress-Router) wieder entfernt wird (siehe Abbildung 1). Somit kann ab dort wieder IP geroutet werden. Der Provider kann dadurch beliebige IP-Segmente des Kunden transportieren. IP-Segmente mehrerer Kundennetze dürfen sich dabei überlappen. Im Regelfall geschieht der Transport für den Kunden vollkommen transparent. Lediglich die IP-Adresse der kundenseitigen PE-Schnittstelle ist für Kunden sichtbar. Abbildung 1: IP-Datagramme werden am Ingress-Router (links) mit einem MPLS-Label versehen, das am Egress- Router (rechts) wieder entfernt wird. 10 Bundesamt für Sicherheit in der Informationstechnik

11 Grundlagen der MPLS-Technik Alle LSR im MPLS-Netz kommunizieren über das Label Distribution Protocol (LDP) miteinander. Über LDP werden die im Netz konfigurierten, für jedes Kunden-VPN einmal existierenden MPLSLabel zu allen Routern propagiert. Die MPLS-Router speichern diese Informationen in ihrer LSPTabelle. Beim Eintritt eines Datagramms in einen MPLS-Knoten wird das ursprüngliche Label entfernt und ein neues Label, entsprechend der LSP-Tabelle des Routers, vor das IP-Datagramm gesetzt (siehe Abbildung 2). Abbildung 2: Pakete werden von jedem LSR entsprechend seiner LSP-Tabelle neu "gelabeled". Der resultierende Weg, den Datenpakete zwischen zwei Standorten durch das MPLS-Netz zurücklegen, wird als Label Switched Path (LSP) bezeichnet (siehe Abbildung 3). Abbildung 3: Der LSP ergibt sich aus der CE-CE-Strecke über die LSR. Bundesamt für Sicherheit in der Informationstechnik 11

12 Grundlagen der MPLS-Technik Ein Kunden-VPN besteht aus einer Anzahl von Standorten (Sites), die über das MPLS-Netz miteinander verbunden sind. Ein CE-Router einer Site ist immer Bestandteil genau eines Kunden- VPN. Der CE-Router ist mit dem PE-Router verbunden. Ein PE-Router einer Site ist üblicherweise mit mehreren CE-Routern unterschiedlicher Kunden-VPN verbunden (siehe Abbildung 4). Jede Site eines Kunden-VPN wird aus Sicht des Kunden durch einen CE-Router definiert. Aus Sicht des Service-Providers wird jede Site eines Kunden-VPN durch die Schnittstelle des PE- Routers definiert, die mit dem entsprechenden CE-Router verbunden ist. Abbildung 4: Die PE-Systeme können mit CE verschiedener Kundennetze verbunden sein. Auf dem PE wird jedes Kunden-VPN eines Standorts durch einen einmalig vorhandenen Bezeichner oder "Route Distinguisher" (RD) gekennzeichnet. Der "Route Distinguisher" wird einer dedizierten VRF-Instanz (VPN Routing / Forwarding) für dieses Kunden-VPN zugeordnet. Dadurch werden die Routen der unterschiedlichen Kunden-VPN getrennt voneinander in völlig verschiedenen virtuellen Router-Instanzen verwaltet (siehe Abbildung 5). 12 Bundesamt für Sicherheit in der Informationstechnik

13 Grundlagen der MPLS-Technik Abbildung 5: Auf den PE werden die Routen innerhalb separater VRF-Instanzen (VPN Routing / Forwarding) getrennt verwaltet. Die unterschiedlichen VRF-Instanzen werden nun bestimmten Sub-Interfaces auf den Routern zugeordnet. Über diese Sub-Interfaces wird die Verbindung zu den jeweiligen CE-Systemen des Kunden-VPN realisiert (siehe Abbildung 6). Abbildung 6: Über unterschiedliche Sub-Interfaces werden die angebundenen CEs den VRFs zugeordnet. Jeder virtuelle Router ist gekennzeichnet durch: - Eine virtuelle IP-Routing-Tabelle, Bundesamt für Sicherheit in der Informationstechnik 13

14 Grundlagen der MPLS-Technik - Eine aus der Routing-Tabelle abgeleitete Forwarding-Tabelle, - Eine Anzahl zugeordneter (Sub-)Interfaces, die diese Forwarding-Tabelle nutzen, - Regeln, die den Im- und Export von Routen in und aus der VPN-Routing-Tabelle kontrollieren, und - Eventuell zugeordnete Routing-Protokolle (EIGRP, OSPF). Anhand Abbildung 6 wird hier ein VRF-Konfigurationsbeispiel (Ausschnitt) für Cisco IOS auf dem PE-Router an Standort 1 gegeben:! Kunde Rot ip vrf Kunde_Rot Rd 123:1! Kunde Blau ip vrf Kunde_Blau Rd 117:1! Link zu CE Kunde rot Site 1 Interface FastEthernet 1/1/0.18 ip vrf forwarding Kunde_Rot! Link zu CE Kunde blau Site 1 Interface FastEthernet 1/1/0.17 ip vrf forwarding Kunde_Blau Der Route Distinguisher (RD) ist das Unterscheidungsmerkmal zwischen den VPN-VRFs. Der RD ist in den MPLS-Headern der MPLS-Pakete wiederzufinden. Im MPLS-Core wird durch die Nutzung von einmalig vorhandenen Route Distinguishern (RD) die Adressraumseparierung zwischen den VPN erreicht. Übergänge zwischen verschiedenen MPLS-VPNs sind in dieser Konfiguration nicht vorhanden. Es ist jedoch möglich, Übergänge zwischen unterschiedlichen VPNs zu schaffen, wenn dies so gewollt ist. Ein denkbares Szenario ist hierbei der Einsatz eines dedizierten und zentralen Internet-VPN für den Internetzugang der Kunden. In Cisco IOS werden die Routen dazu innerhalb der VRF- Konfiguration explizit importiert oder exportiert.! Kunde Rot ip vrf Kunde_Rot Rd 123:1 route-target import 222:1! Internet ip vrf Internet_VPN Rd 222:1 route-target export 123:1 14 Bundesamt für Sicherheit in der Informationstechnik

15 Grundlagen der MPLS-Technik 2.3 MPLS-Architektur Die Architektur von MPLS-Netzen ist hierarchisch angelegt und enthält die 3 Ebenen - Access (Netzzugang), - Distribution (Verteilung) und - Core (Kerntransportnetz). In Abbildung 7 ist die MPLS-Architektur schematisch dargestellt. Abbildung 7: Schematische Darstellung eines MPLS-Netzes Üblicherweise werden alle in Abbildung 7 dargestellten Netzkomponenten vom Provider betrieben. Dabei stellt die kundenseitige Ethernet-Schnittstelle des Customer Edge Routers den Netzabschluss aus Sicht des Providers dar. Der CE wird als Customer Premises Equipment (CPE) in den Räumen des Kunden aufgestellt und mit dessen LAN-Infrastruktur (Ethernet-Switch) verbunden (siehe Abbildung 8). Bundesamt für Sicherheit in der Informationstechnik 15

16 Grundlagen der MPLS-Technik Abbildung 8: Abgrenzung der Verantwortungsbereiche zwischen Kunde und Provider Am so genannten Service Access Point verlassen Datenpakete den Verantwortungsbereich des Kunden und erreichen den Verantwortungsbereich des Providers. Dieser Übergabepunkt ist meist die Eingangsschnittstelle der CPE (also der Ethernet-Port des vom Provider verwalteten CE). In anderen Szenarien wird der CE vom Kunden selbst betrieben. In diesem Fall ist der PE das erste Gerät in der Verantwortung des Providers. Die Datenpakete der unterschiedlichen Kundenanwendungen ( , Internet, Sprache, Video, Terminalanwendungen, Datenbanken) werden auf dem CE anhand spezifischer Eigenschaften (Protokoll) klassifiziert. Die Klassifizierung wird im IP-Header angezeigt (DiffServ mittels IP DSCP Bits). Anhand der so gekennzeichneten Pakete kann schon der CE-Router eine Transportpriorisierung vornehmen. Eine solche Unterscheidung ist notwendig, weil über das Datennetz in der Regel mehrere Dienste mit unterschiedlichen Ansprüchen an die Übertragungsqualität gesendet werden. VoIP-Anwendungen z. B. sind sehr empfindlich in Hinblick auf Laufzeiten (Delay), die Verzögerungen beim Telefonieren verursachen, und in Hinblick auf Schwankungen (Jitter). Um einer wichtigen Unternehmensanwendung wie Telefonie über Datennetze gerecht zu werden, wird diesen Paketen eine Art Vorfahrt in den Warteschlangen der Router-Schnittstellen eingeräumt. Diese sorgt zum einen dafür, dass - ständig eine garantierte Bandbreite für die Anwendung bereitgehalten wird (vergleichbar mit der Committed Information Rate (CIR) bei FR) und - eine priorisierte Signalisierung auf die Übertragungsleitung, vor den Datenpaketen anderer Anwendungen, stattfindet. In Cisco IOS gibt es für die Realisierung von QoS z. B. die Verfahren "Class-Based Weighted Fair Queuing" (CBWFQ) und "Low-Latency Queuing" (LLQ). Datenpakete von Anwendungen 16 Bundesamt für Sicherheit in der Informationstechnik

17 Grundlagen der MPLS-Technik niedriger Priorität (Internet, ) werden im Vergleich zu VoIP oder Video-Anwendungen verzögert übertragen und im Falle erschöpfter Übertragungskapazitäten bevorzugt verworfen. Die Umsetzung der Klassifizierung innerhalb der IP-Datagramme in die MPLS-Header wird vom Ingress-LSR (PE) übernommen. Der LSR überträgt die Informationen aus dem DSCP-Feld des IP- Headers in das EXP-Feld ("Experimental") des MPLS-Headers. Gemäß IETF-Empfehlung ist der MPLS-Shim-Header 32 Bit lang. Für das MPLS-Label stehen 20 Bit zur Verfügung. Das EXP-Feld umfasst 3 Bit. Der Rest des Headers wird von Stack (1 Bit) und TTL (8 Bit) eingenommen [11]. 2.4 Sicherheitsbetrachtung MPLS Klassische Layer-2-VPN bieten per Definition keine integrierte Verschlüsselung (siehe Kapitel 2.1). Gleichwohl bringen diese Techniken ein gewisses Maß an Sicherheit mit sich, weil die Daten verschiedener Kundennetze innerhalb separierter Transportkanäle übertragen werden (ATM VPI / VCI; Frame Relay DLCI). Layer-3-IP-Datagramme werden für den Transport über die Providerplattform in ATM-Zellen oder in FR-Rahmen gekapselt und im Zielsegment wieder ausgepackt. Innerhalb der Netzplattform existiert also keine IP-Konnektivität. Dadurch entfallen die meisten der heute bekannten Angriffsszenarien auf IP-Ebene. Weiterhin verwenden Layer-2-Netze häufig private Netzinfrastrukturen. Öffentliche Netze wie das Internet werden in der Regel für den Datentransport nicht genutzt. Gleichwohl kann das Netz einer Behörde oder eines Unternehmens aus einer Kombination von privaten Layer-2-Verbindungen und Internet-VPNs (TLS/SSL/IPSec/SSH) realisiert werden. MPLS ist zwischen den Netzschichten 2 und 3 angesiedelt. Es bringt durch die Verwendung der Label-Technik ein mit anderen Layer-2-VPN vergleichbares Maß an Sicherheit mit sich [5]. Dabei werden die IP-Datagramme mit einem vorgeschalteten MPLS-Label-Stack versehen. Dadurch sind die IP-Daten der unterschiedlichen Kundennetze voneinander getrennt. Somit ist ein MPLS-Netz sicherheitstechnisch durchaus mit ATM/FR-Netzen vergleichbar. Trotzdem bleibt der MPLS- Backbone mit seinen Netzknoten ein zwischen mehreren Kunden geteiltes Medium. Es gibt theoretische und praktische Angriffsszenarien auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. Täter können dabei aus anderen Kunden-VPN, aus dem Internet oder direkt aus dem Providernetz heraus angreifen. Um ein höheres Maß an Sicherheit zu erzielen, besteht für Kunden von Layer-2- und MPLS-Netzen die Möglichkeit, verschlüsselte Verbindungen einzusetzen. Als gängiges Verfahren sei an dieser Stelle das "IPSec Site-to-Site Tunneling" genannt, mit dem auch gegenüber dem Providerpersonal die Schutzziele Vertraulichkeit und Integrität in hohem Maße gewährleistet werden können. Als grundsätzlich vorhandenes Risiko geteilter MPLS-Infrastrukturen existiert auch bei Einsatz von Tunneltechniken die Gefahr eines Denial-of-Service (DoS). Dies ist vor allem bei den PE-Routern relevant, die Verbindungen zu den CE-Systemen mehrerer Kunden-VPN haben. Ein DoS-Angriff aus einem Kunden-VPN, der zu einem Ausfall des PE-Systems führt, würde auch die anderen VPNs, die den selben PE nutzen, negativ beeinflussen. MPLS-Netze können auch dediziert für nur einen Kunden (Behörde oder Unternehmen) existieren. MPLS-Netze werden an Hand der folgenden 3 Merkmale charakterisiert. Diese Unterscheidung ist wichtig für die Einschätzung der Bedrohungen: 1. Control Plane (Steuerungsebene) - Die Control Plane wird durch Routing-Instanzen definiert. Der CE-Router propagiert dabei die IP-Routen seines Standorts zum angeschlossenen PE-Router. Dieser wiederum versorgt Bundesamt für Sicherheit in der Informationstechnik 17

18 Grundlagen der MPLS-Technik den CE-Router mit seinen Routing-Informationen. Dies kann über Routing-Protokolle (wie OSPF, BGP) oder über statisches Routing geschehen. - Ein PE ist mit den CE mehrerer Kundennetze verbunden. Die Routing-Informationen der einzelnen Kundennetze werden in separierten VRF-Instanzen ("VPN Routing / Forwarding") vorgehalten. Die VRF werden anhand von "Route Distinguishern (RD)" unterschieden. 2. Data Plane (Ebene des Kundendatenverkehrs) - Im Bereich der Data Plane transportiert das CE-System den IP-Verkehr des Kunden zu den VRF der PE. - Am PE-System werden die Pakete mit dem PE-Label des Egress-Routers (Ziel-PE) und dem kundenspezifischen VPN-Label versehen. 3. Management Plane (Verwaltungsebene) - Die Management Plane definiert den Netzmanagementverkehr (in-band oder out-of-band), über den die Netzoperatoren ihre Netze verwalten. Unterschiedliche Angriffe zielen auf die unterschiedlichen Ebenen dieser Netzklassifikation ab. 18 Bundesamt für Sicherheit in der Informationstechnik

19 Gefährdungen bei der Nutzung von MPLS-Infrastrukturen 3 Gefährdungen bei der Nutzung von MPLS- Infrastrukturen Die allgemeinen Gefährdungen für die sichere Datenübertragung in MPLS-Netzen entsprechen den relevanten Gefährdungen in den IT-Grundschutz-Katalogen G1 bis G5. Diese allgemeinen Gefährdungen werden in dieser Kurzstudie berücksichtigt, jedoch nicht mit aufgeführt. In diesem Kapitel werden die spezifischen, durch Nutzung der MPLS-Technik entstehenden Gefährdungen beschrieben. Tabelle 2 listet die MPLS-spezifischen Gefährdungen in einem Überblick auf. Im Anschluss daran werden die einzelnen Gefährdungen erläutert. Bezeichner Beschreibung der Gefährdung Maßnahmen G.PakAus Austritt markierter MPLS-Pakete aus dem VPN M01, M16, M17, M22 G.PakInjVPN G.PakInjCore G.PakInjIntAS G.FehlCE G.FehlCE-IAS G.Sichtbar G.DatenMix Injizieren unberechtigter Pakete aus einem MPLS- VPN in ein anderes MPLS-VPN Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN Anbinden eines unberechtigten CE-Routers durch Fehlkonfiguration Anbinden eines unberechtigten CE-Routers im Transportnetz eines anderen Netzdienstleisters Sichtbarkeit der logischen Struktur des Provider- Netzes Vermischung des Datenverkehrs verschiedener Kundennetze M01, M02, M16, M17, M18, M22 M01, M02, M03, M17, M18, M20, M22 M01, M02, M03, M04, M16, M18, M20, M22 M03, M05, M16, M18, M20, M21, M24 M05, M06, M16, M18, M21, M24 M07, M10 M08, M16, M18, M21 G.PE-DoS Denial-of-Service-Angriff auf PE-Router M09, M16 G.WWW-DoS Denial-of-Service-Angriff aus dem Internet M07, M10, M11, M19 G.BGP-DoS Denial-of-Service-Angriffe auf das Routing- Protokoll BGP im Core M07, M12, M16 Bundesamt für Sicherheit in der Informationstechnik 19

20 Gefährdungen bei der Nutzung von MPLS-Infrastrukturen Bezeichner Beschreibung der Gefährdung Maßnahmen G.Route-DoS Denial-of-Service-Angriffe auf VPNs durch Routing- Updates M09, M13, M14, M15, M16 G.Ausfall Denial-of-Service durch Ausfall des Transportnetzes M15, M23 Tabelle 2: Übersicht über die spezifischen Gefährdungen bei der Nutzung von MPLS-Netzen Im Folgenden werden die für MPLS relevanten Gefährdungen, die in Tabelle 2 aufgeführt sind, erläutert. 3.1 Austritt markierter MPLS-Pakete aus dem VPN G.PakAus Mit MPLS-Header versehene ("gelabelte") Pakete können unter Umständen unbeabsichtigt das vorgesehene MPLS-VPN verlassen und in anderen VPNs oder IP-Netzen sichtbar werden. Diese Gefährdung ist in RFC 4364 [2] "Data Plane Security" beschrieben. Demnach kann diese Gefährdung auftreten, wenn ein Backbone-Router "gelabelte" Pakete an nicht-vertrauenswürdige Systeme weiterleitet, zu denen eine IPv4-Route existiert. Dieses Verhalten ist gemäß RFC nicht zugelassen. Als mögliche Ursachen kommen demnach Softwarefehler und Fehlkonfigurationen in Frage. Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit 3.2 Injizieren unberechtigter Pakete aus einem MPLS-VPN in ein anderes MPLS-VPN G.PakInjVPN Teilnetze unterschiedlicher MPLS-VPN am gleichen Standort (Site) sind über einen gemeinsamen PE-Router mit dem MPLS-Backbone und mit den anderen Standorten des zugehörigen MPLS-VPN verbunden. Datenpakete mit veränderten MPLS-Labeln ("MPLS-Label-Spoofing") könnten unberechtigt in ein MPLS-VPN gelangen, wenn der PE-Router entsprechende Pakete mit gefälschtem Label vom CE-Router eines Kunden-VPN akzeptiert und in ein anderes Kunden-VPN transportiert. Bidirektionale Kommunikation ist in diesem Szenario nicht möglich. Gemäß RFC darf ein PE- Router keine Pakete mit MPLS-Label von einem CE-System annehmen. Bei RFC-konformer Konfiguration und Implementierung ist demnach ein MPLS-Label-Spoofing von einem VPN in ein anderes nicht möglich. Als mögliche Ursachen kommen demnach Softwarefehler, Fehlkonfiguration und gezielte Angriffe in Frage. 20 Bundesamt für Sicherheit in der Informationstechnik

21 Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität Gefährdungen bei der Nutzung von MPLS-Infrastrukturen 3.3 Injizieren unberechtigter Pakete vom Transportnetz des Netzdienstleisters in ein MPLS-VPN G.PakInjCore In ein MPLS-VPN könnten manipulierte Datenpakete aus dem Transportnetz des Netzdienstleisters (Core) eindringen. Dies setzt voraus, dass Manipulationen (MPLS-Label-Spoofing) innerhalb des Cores nicht von den PE-Routern verworfen werden, sondern in ein MPLS-VPN eindringen können. RFC 4364 enthält Vorgaben, die die Eintrittswahrscheinlichkeit dieser Gefährdung senken. Bidirektionale Kommunikation ist in diesem Szenario nicht möglich. Als mögliche Ursachen kommen Softwarefehler, Fehlkonfiguration oder gezielte Angriffe aus dem Transportnetz des Dienstleisters in Frage (MPLS-Label-Spoofing durch Man-in-the-Middle- Angriff, z. B. des Providerpersonals). Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität 3.4 Einbringen unberechtigter Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN G.PakInjIntAS Zur Kopplung verschiedener Kundenstandorte eines MPLS-VPNs über die Netzgrenzen des Transportdienstleisters hinaus (z. B. in das Ausland) etablieren MPLS-Provider sogenannte "Inter-AS"- Verbindungen (AS: Autonomous System) oder "Carrier s Carrier"-Verbindungen untereinander. Dadurch entsteht aus diesen Netzen heraus prinzipiell ein analoges Gefährdungsszenario, wie in G.PakInjCore beschrieben. Das heißt, es könnten unberechtigte Pakete vom Transportnetz eines anderen Netzdienstleisters in ein MPLS-VPN gelangen. Als mögliche Ursachen kommen Softwarefehler, Fehlkonfiguration oder gezielte Angriffe aus dem Transportnetz des externen MPLS-Dienstleisters in Frage (MPLS-Label-Spoofing durch Man-inthe-Middle-Angriff, z. B. des Providerpersonals). Diese Gefährdung entsteht auf der Ebene der "Data Plane". Betroffene Schutzziele: Vertraulichkeit, Integrität Bundesamt für Sicherheit in der Informationstechnik 21

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013

Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information. Juli 2013 Informationen für Kunden zur Anbindung an die Systeme von SIX Financial Information Juli 2013 Inhalt 1 Einleitung 3 2 Anbindungsmöglichkeiten 4 2.1 Übersicht 4 2.2 IP VPN über MPLS 5 2.2.1 Anschluss in

Mehr

Redundante Anbindung im X-WiN

Redundante Anbindung im X-WiN Redundante Anbindung im X-WiN DFN Betriebstagung Oktober 2008 Thomas Schmid, schmid@dfn.de Motivation Dürfte jedem klar sein Erhöhung der Verfügbarkeit Schutz gegen Ausfall der Zugangsleitung Schutz gegen

Mehr

Kundeninfo Anbindung externer Standorte an die Uptime Cloud

Kundeninfo Anbindung externer Standorte an die Uptime Cloud Kundeninfo Anbindung externer Standorte an die Uptime Cloud 1 Einleitung Uptime IT bietet seinen Kunden Infrastructure as a Service (IaaS) Leistungen auf Basis der Uptime Cloud an 2 Standorten an. Für

Mehr

Kurzeinführung VPN. Veranstaltung. Rechnernetze II

Kurzeinführung VPN. Veranstaltung. Rechnernetze II Kurzeinführung VPN Veranstaltung Rechnernetze II Übersicht Was bedeutet VPN? VPN Typen VPN Anforderungen Was sind VPNs? Virtuelles Privates Netzwerk Mehrere entfernte lokale Netzwerke werden wie ein zusammenhängendes

Mehr

P107: VPN Überblick und Auswahlkriterien

P107: VPN Überblick und Auswahlkriterien P107: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

2G04: VPN Überblick und Auswahlkriterien

2G04: VPN Überblick und Auswahlkriterien 2G04: VPN Überblick und Auswahlkriterien Referent: Christoph Bronold BKM Dienstleistungs GmbH 2004 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

Mehr

Sicherheitsmechanismen für Voice over IP

Sicherheitsmechanismen für Voice over IP Sicherheitsmechanismen für Voice over IP von Dr. Behrooz Moayeri Technologie Report: Sicherheitsmechanismen für VoIP Seite 6-138 6.2 Schutz für Quality of Service (QoS) Dieser Abschnitt befasst sich mit

Mehr

Einführung in die. Netzwerktecknik

Einführung in die. Netzwerktecknik Netzwerktecknik 2 Inhalt ARP-Prozeß Bridging Routing Switching L3 Switching VLAN Firewall 3 Datenaustausch zwischen 2 Rechnern 0003BF447A01 Rechner A 01B765A933EE Rechner B Daten Daten 0003BF447A01 Quelle

Mehr

Nutzen und Vorteile der Netzwerkvirtualisierung

Nutzen und Vorteile der Netzwerkvirtualisierung Nutzen und Vorteile der Netzwerkvirtualisierung Dominik Krummenacher Systems Engineer, Econis AG 09.03.2010 Econis AG 2010 - Seite 1 - What s the Meaning of Virtual? If you can see it and it is there It

Mehr

und -netzen Vermittlung mit IP Idee Virtuelle Verbindung Datagramm-basiert

und -netzen Vermittlung mit IP Idee Virtuelle Verbindung Datagramm-basiert Performance von Kommunikationssystemen und -netzen 5. Multi-Protocol Label Switching (MPLS) Vermittlung mit IP Datagramm-basiert Wegewahl für jedes einzelne IP-Datagramm Kein Kontext im Router bezüglich

Mehr

Technischer Anhang. Version 1.2

Technischer Anhang. Version 1.2 Technischer Anhang zum Vertrag über die Zulassung als IP-Netz-Provider im electronic cash-system der deutschen Kreditwirtschaft Version 1.2 30.05.2011 Inhaltsverzeichnis 1 Einleitung... 3 2 Anforderungen

Mehr

1E05: VPN Verbindungen zwischen Data Center und Branch Office

1E05: VPN Verbindungen zwischen Data Center und Branch Office 1E05: VPN Verbindungen zwischen Data Center und Branch Office Referent: Christoph Bronold BKM Dienstleistungs GmbH 2008 BKM Dienstleistungs GmbH VPN Verbindungen Data Center und Backup Data Center Data

Mehr

Internet Protokolle für Multimedia - Anwendungen

Internet Protokolle für Multimedia - Anwendungen Internet Protokolle für Multimedia - Anwendungen Kapitel 5.5 Multiprotocol Label Switching (MPLS) 1 Gliederung Grundlagen Idee, Konzept Label Switching Technologie Label Distribution Protokolle LDP und

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network (deutsch virtuelles

Mehr

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Virtuelle Private Netze Teil 2

Integrierte IT-Service-Management- Lösungen anhand von Fallstudien. Virtuelle Private Netze Teil 2 tegrierte IT-Service-Management- Lösungen anhand von Fallstudien Virtuelle Private Netze Teil 2 Dr. Michael Nerb et al., Prof. Dr. Heinz-Gerd Hegering SoSe 2007 Seite 2 Virtuelle Private Netze Wiederholung

Mehr

Router 1 Router 2 Router 3

Router 1 Router 2 Router 3 Network Layer Netz 1 Netz 2 Netz 3 Router 1 Router 2 Router 3 Router 1 Router 2 Router 3 Netz 1, Router 1, 1 Netz 1, Router 1, 2 Netz 1, Router 2, 3 Netz 2, Router 2, 2 Netz 2, Router 2, 1 Netz 2, Router

Mehr

Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN)

Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN) Neue Technologien zur standortübergreifenden Unternehmenskommunikation (VPN) Dial-In VPN DSL SFV Firewall Virencheck Agenda 1. Warum ein virtuelles privates Netzwerk? 2. Welche VPN-Varianten bietet der

Mehr

Band M, Kapitel 5: Server

Band M, Kapitel 5: Server Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: Hochverfuegbarkeit@bsi.bund.de Internet: https://www.bsi.bund.de Bundesamt für Sicherheit

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Projektierung und Betrieb von Rechnernetzen

Projektierung und Betrieb von Rechnernetzen Projektierung und Betrieb von Rechnernetzen Versuch : Router-Konfiguration Vorbetrachtungen Im Rahmen des Praktikums sind einige Begriffe bzw. Fragen zum Thema Router zu klären: Was ist ein Router? Router

Mehr

Offen und flexibel. Next Generation Network Neue Anwendungen und Dienste für Unternehmenskunden

Offen und flexibel. Next Generation Network Neue Anwendungen und Dienste für Unternehmenskunden Offen und flexibel Next Generation Network Neue Anwendungen und Dienste für Unternehmenskunden Das Netzwerk der nächsten Generation vereint Sprache, Daten und Video Neue Anwendungen und Dienste für Unternehmenskunden

Mehr

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien

3C02: VPN Überblick. Christoph Bronold. Agenda. VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien 3C02: VPN Überblick Referent: Christoph Bronold BKM Dienstleistungs GmbH 2006 BKM Dienstleistungs GmbH VPN Überblick VPN Technologien für IP VPN Netzwerk Design VPN Auswahlkriterien Agenda 2 www.decus.de

Mehr

VPN / Tunneling. 1. Erläuterung

VPN / Tunneling. 1. Erläuterung 1. Erläuterung VPN / Tunneling Ein virtuelles privates Netzwerk (VPN) verbindet die Komponenten eines Netzwerkes über ein anderes Netzwerk. Zu diesem Zweck ermöglicht das VPN dem Benutzer, einen Tunnel

Mehr

Business MPLS VPN. Ihr schnelles und sicheres Unternehmensnetzwerk

Business MPLS VPN. Ihr schnelles und sicheres Unternehmensnetzwerk Business MPLS VPN Ihr schnelles und sicheres Unternehmensnetzwerk Verbinden Sie Ihre Standorte zu einem hochperformanten und gesicherten Netz. So profitieren Sie von der Beschleunigung Ihrer Kommunikationswege

Mehr

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller

Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) Technische Grundlagen und Beispiele. Christian Hoffmann & Hanjo, Müller Zentrum für Informationsdienste und Hochleistungsrechnen (ZIH) VPN (Virtual Private Network) Technische Grundlagen und Beispiele Christian Hoffmann & Hanjo, Müller Dresden, 3. April 2006 Übersicht Begriffsklärung

Mehr

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden.

Die drei Switche sind auf drei Stockwerke verteilt und mit einer Leitung miteinander verbunden. Szenario Aufbau Es sollen vier von einander getrennte Subnetze erstellt und konfiguriert werden. Diese werden stockwerksübergreifend über drei Switche mit einem Internet Gateway verbunden, um Zugang zum

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie

VPN. Virtuelles privates Netzwerk. Vortrag von Igor Prochnau Seminar Internet- Technologie VPN Virtuelles privates Netzwerk Vortrag von Igor Prochnau Seminar Internet- Technologie Einleitung ist ein Netzwerk, das ein öffentliches Netzwerk benutzt, um private Daten zu transportieren erlaubt eine

Mehr

MPLS Multiprotocol Label Switching

MPLS Multiprotocol Label Switching MPLS Multiprotocol Label Switching Jürgen Quittek Institut für Informatik Freie Universität Berlin C&C Research Laboratories NEC Europe Ltd., Berlin Vorlesung Rechnernetze Institut für Informatik Freie

Mehr

Bettina Kauth. kauth@noc.dfn.de

Bettina Kauth. kauth@noc.dfn.de Bettina Kauth kauth@noc.dfn.de 1 Möglichkeiten, zur direkten Kopplung von Standorten oder Instituten über das X-WiN Schalten von phys. Verbindungen/Wellenlängen Tunneling MPLS basierte Virtual Private

Mehr

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner Adressübersetzung und Tunnelbildung Bastian Görstner Gliederung 1. NAT 1. Was ist ein NAT 2. Kategorisierung 2. VPN 1. Was heißt VPN 2. Varianten 3. Tunneling 4. Security Bastian Görstner 2 NAT = Network

Mehr

VIRTUAL PRIVATE NETWORKS

VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS Seminar: Internet-Technologie Dozent: Prof. Dr. Lutz Wegner Virtual Private Networks - Agenda 1. VPN Was ist das? Definition Anforderungen Funktionsweise Anwendungsbereiche Pro

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Unsere Strategie - ASP

Unsere Strategie - ASP Unsere Strategie - ASP WAS IST ASP? ASP ist die Abkürzung für Application Service Providing und bedeutet die Bereitstellung und Nutzung von Programmen über das Internet. Anbieter einer ASP-Lösung ist der

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch

AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry www.anyweb.ch HP Network Node Manager: Überwachung von MPLS-basierenden Netzwerken AnyWeb AG / ITSM Parcisce Circle 23.01.2007 / Christof Madöry

Mehr

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden:

Prinzipiell wird bei IP-basierenden VPNs zwischen zwei unterschiedlichen Ansätzen unterschieden: Abkürzung für "Virtual Private Network" ein VPN ist ein Netzwerk bestehend aus virtuellen Verbindungen (z.b. Internet), über die nicht öffentliche bzw. firmeninterne Daten sicher übertragen werden. Die

Mehr

Internet Routing am 14. 11. 2006 mit Lösungen

Internet Routing am 14. 11. 2006 mit Lösungen Wissenstandsprüfung zur Vorlesung Internet Routing am 14. 11. 2006 mit Lösungen Beachten Sie bitte folgende Hinweise! Dieser Test ist freiwillig und geht in keiner Weise in die Prüfungsnote ein!!! Dieser

Mehr

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote

ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote ISA Server 2004 Site to Site VPN mit L2TP/IPSEC - Von Marc Grote Die Informationen in diesem Artikel beziehen sich auf:? Microsoft ISA Server 2004 Einleitung Dieser Artikel beschreibt die Einrichtung eines

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

VPNSicher. Flexibel Kostengünstig. Ihr Zugang zur TMR-Datenautobahn

VPNSicher. Flexibel Kostengünstig. Ihr Zugang zur TMR-Datenautobahn VPNSicher Flexibel Kostengünstig Ihr Zugang zur TMR-Datenautobahn Die DATENAutobahn Was ist VPN? Getrennter Transport von privaten und öffentlichen Daten über das gleiche Netzwerk. Virtuell: Viele Wege

Mehr

VPN Virtual Private Networks

VPN Virtual Private Networks Wolfgang Böhmer VPN Virtual Private Networks Die reale Welt der virtuellen Netze HANSER Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3 1.1 Was ist ein VPN? 7 1.2 Welche VPN-Varianten

Mehr

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004

Der Weg ins Internet von Jens Bretschneider, QSC AG, Geschäftsstelle Bremen, im Oktober 2004 Der Weg ins Internet 1 Übersicht Internetverbindung aus Sicht von QSC als ISP Struktur Technik Routing 2 Layer Access-Layer Distribution-Layer Core-Layer Kupfer- Doppelader (TAL) Glasfaser (STM-1) Glasfaser

Mehr

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH

Virtual Private Networks. Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Virtual Private Networks Hans Peter Dittler BRAINTEC Netzwerk-Consulting GmbH Inhalt Einleitung Grundlagen Kryptographie IPSec Firewall Point-to-Point Tunnel Protokoll Layer 2 Tunnel Protokoll Secure Shell

Mehr

Carrier Ethernet. Produktbeschreibung

Carrier Ethernet. Produktbeschreibung Carrier Ethernet Produktbeschreibung Terminologie Ethernet Virtual Connection (EVC) Jeder Transport von Daten eines Services zwischen UNI s erfolgt als dedizierte virtuelle Ethernet Verbindung (EVC) auf

Mehr

Voice over IP. Sicherheitsbetrachtung

Voice over IP. Sicherheitsbetrachtung Voice over IP Sicherheitsbetrachtung Agenda Motivation VoIP Sicherheitsanforderungen von VoIP Technische Grundlagen VoIP H.323 Motivation VoIP Integration von Sprach und Datennetzen ermöglicht neue Services

Mehr

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper Collax VPN Howto Dieses Howto beschreibt exemplarisch die Einrichtung einer VPN Verbindung zwischen zwei Standorten anhand eines Collax Business Servers (CBS) und eines Collax Security Gateways (CSG).

Mehr

VPN - Virtual Private Networks

VPN - Virtual Private Networks VPN - Virtual Private Networks Wolfgang Böhmer Kommunikationssicherheit in VPN- und IP-Netzen, über GPRS und WLAN ISBN 3-446-22930-2 Inhaltsverzeichnis Weitere Informationen oder Bestellungen unter http://www.hanser.de/3-446-22930-2

Mehr

IT Sicherheit in Echtzeitumgebungen. Sicherheitskritische Datenübertragung im Energieversorgungssystem. Profn. Dr.-Ing.

IT Sicherheit in Echtzeitumgebungen. Sicherheitskritische Datenübertragung im Energieversorgungssystem. Profn. Dr.-Ing. IT Sicherheit in Echtzeitumgebungen Sicherheitskritische Datenübertragung im Energieversorgungssystem Fachhochschule in privater Trägerschaft der Deutschen Telekom AG mit staatlicher Anerkennung Studiengänge:

Mehr

Technische Anforderungen. zum Empfang. von XML-Nachrichten

Technische Anforderungen. zum Empfang. von XML-Nachrichten Technische Anforderungen zum Empfang von XML-Nachrichten 25.11.2004 Peer Uwe Peters 2 1 Inhaltsverzeichnis 1 INHALTSVERZEICHNIS... 2 2 ZIEL DIESES DOKUMENTS... 3 3 KONTEXT... 3 4 SENDEWEG... 4 5 ERREICHBARKEIT...

Mehr

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling

Modul 4 Virtuelle Private Netze (VPNs) und Tunneling Modul 4 Virtuelle Private Netze (VPNs) und Tunneling 14.11.2011 17:47:26 M. Leischner Sicherheit in Netzen Folie 1 Virtuelle Private Netze - Begriffsdefinition Wiki-Definition " Virtual Private Network

Mehr

VPN: Virtual-Private-Networks

VPN: Virtual-Private-Networks Referate-Seminar WS 2001/2002 Grundlagen, Konzepte, Beispiele Seminararbeit im Fach Wirtschaftsinformatik Justus-Liebig-Universität Giessen 03. März 2002 Ziel des Vortrags Beantwortung der folgenden Fragen:

Mehr

Virtual Private Network. David Greber und Michael Wäger

Virtual Private Network. David Greber und Michael Wäger Virtual Private Network David Greber und Michael Wäger Inhaltsverzeichnis 1 Technische Grundlagen...3 1.1 Was ist ein Virtual Private Network?...3 1.2 Strukturarten...3 1.2.1 Client to Client...3 1.2.2

Mehr

Root-Server für anspruchsvolle Lösungen

Root-Server für anspruchsvolle Lösungen Root-Server für anspruchsvolle Lösungen I Produktbeschreibung serverloft Internes Netzwerk / VPN Internes Netzwerk Mit dem Produkt Internes Netzwerk bietet serverloft seinen Kunden eine Möglichkeit, beliebig

Mehr

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version 2.0.1 Deutsch 14.05.2014 IAC-BOX Netzwerkintegration Version 2.0.1 Deutsch 14.05.2014 In diesem HOWTO wird die grundlegende Netzwerk-Infrastruktur der IAC- BOX beschrieben. IAC-BOX Netzwerkintegration TITEL Inhaltsverzeichnis

Mehr

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer Einführung in IP, ARP, Routing Wap WS02/03 Ploner, Zaunbauer - 1 - Netzwerkkomponenten o Layer 3 o Router o Layer 2 o Bridge, Switch o Layer1 o Repeater o Hub - 2 - Layer 3 Adressierung Anforderungen o

Mehr

MPLS-Praktikumsanleitung

MPLS-Praktikumsanleitung Technische Universität Ilmenau Fakultät für Elektrotechnik und Informationstechnik Einführung in das Multiprotocol Label Switching (MPLS) Stand: Juli 2011 Fachgebiet Kommunikationsnetze Fakultät für Elektrotechnik

Mehr

Next Generation Network oder Die Zukunft der Standortvernetzung

Next Generation Network oder Die Zukunft der Standortvernetzung Next Generation Network oder Die Zukunft der Standortvernetzung Jens Müller, Dipl.-Ing (FH), MSc QSC AG - Managed Services München, Business Partnering Convention 2011 Agenda Standortvernetzung war gestern

Mehr

Verschlüsselung von VoIP Telefonie

Verschlüsselung von VoIP Telefonie Verschlüsselung von VoIP Telefonie Agenda» VoIP-Grundlagen» Gefahren bei VoIP» Sicherheitskonzepte 2 VoIP-Grundlagen Im Unterschied zur klassischen Telefonie werden bei VoIP keine dedizierten Leitungen

Mehr

Aurorean Virtual Network

Aurorean Virtual Network Übersicht der n Seite 149 Aurorean Virtual Network Aurorean ist die VPN-Lösung von Enterasys Networks und ist als eine Enterprise-class VPN-Lösung, auch als EVPN bezeichnet, zu verstehen. Ein EVPN ist

Mehr

Broadband Connectivity Services

Broadband Connectivity Services Ausgabedatum 109.2013 Ersetzt Version 1-1 Vertrag Vertrag betreffend 1/6 Inhaltsverzeichnis 1 Einleitung... 3 2 Qualitätsübersicht BBCS Anschluss... 3 1 Qualitätsvereinbarungen... 4 2 Vertragsstrafen...

Mehr

Carrier Ethernet Service. Punkt-zu-Punkt Service

Carrier Ethernet Service. Punkt-zu-Punkt Service Punkt-zu-Punkt Service Ausgabedatum 008.2013 Ersetzt Version 2-0 Gültig ab 008.2013 Vertrag Vertrag betreffend Data Services Vertrag betreffend Mietleitungen FMG Gültig ab 008.2013 1/9 Inhaltsverzeichnis

Mehr

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell.

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell. L2 Box Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell. Zuverlässige Leitungsverschlüsselung. Der Austausch interner und vertraulicher Daten zwischen Standorten oder Rechenzentren

Mehr

Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten

Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten Anlage: Anforderungen an Informationstechnik für abschaltbare Lasten Das vorliegende Dokument ist eine Anlage zu den Präqualifikations- Anforderungen für die Erbringung von Abschaltleistung aus abschaltbaren

Mehr

Wo geht s lang: Routing. Erstellt von Simon Wegbünder.

Wo geht s lang: Routing. Erstellt von Simon Wegbünder. Wo geht s lang: Routing Erstellt von. 1. Routing allgemein efinition: Festlegen von Wegen für Nachrichtenströme bei der Nachrichtenübermittlung in Rechnernetzen - Paketvermittelte Übertragung (so auch

Mehr

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx Securepoint Security System Version 2007nx Inhaltsverzeichnis VPN mit IPSec und Gateway to Gateway... 3 1 Konfiguration der Appliance... 4 1.1 Erstellen von Netzwerkobjekten im Securepoint Security Manager...

Mehr

Quick Referenz Cisco IOS

Quick Referenz Cisco IOS Quick Referenz Cisco IOS Labor Netzwerk René Fahrenwald CISCO Router - Modi René Fahrenwald 2 ? disable enable exit end (oder Strg-Z) show show version show clock Damit ist jederzeit Hilfe möglich (auch

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Finance IPNet Version 1.5 03. März 2015

Finance IPNet Version 1.5 03. März 2015 Finance IPNet Version 1.5 03. März 2015 Inhaltsverzeichnis 1. Allgemein... 3 2. Bestellung und Kontakte Finance IPNet... 3 3. Kontakte der Application Service Provider... 3 4. Problem Management, Help

Mehr

aktive Netzwerk-Komponenten Repeater Hub Bridge Medienkonverter Switch Router

aktive Netzwerk-Komponenten Repeater Hub Bridge Medienkonverter Switch Router aktive Netzwerk-Komponenten Repeater Hub Bridge Medienkonverter Switch Router Repeater Repeater (Wiederholer) arbeiten auf der Bitübertragungsschicht und regenerieren den Signalverlauf sowie den Pegel

Mehr

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) 1 FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1) In dieser Kurseinheit geht es um verteilte Anwendungen, bei denen wir sowohl ein Client- als auch ein

Mehr

Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany

Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made in Germany Dipl.-Betriebswirt(FH) Stephan Lehmann Produktmanager Pfeilschnell abhörsicher in die Cloud: Ethernet-Verschlüsselung made

Mehr

Zusammenarbeit mit Partnern

Zusammenarbeit mit Partnern Zusammenarbeit mit Partnern BMW Group Anforderungen an ein BMW Satellitenbüro Folie 1 (Besetzung im Satellitenbüro durch BMW und externe Mitarbeiter) Grundsätze Die Geheimhaltung ist zwischen den Partnern

Mehr

FTP-Leitfaden RZ. Benutzerleitfaden

FTP-Leitfaden RZ. Benutzerleitfaden FTP-Leitfaden RZ Benutzerleitfaden Version 1.4 Stand 08.03.2012 Inhaltsverzeichnis 1 Einleitung... 3 1.1 Zeitaufwand... 3 2 Beschaffung der Software... 3 3 Installation... 3 4 Auswahl des Verbindungstyps...

Mehr

Überwachung von Unternehmenskommunikation

Überwachung von Unternehmenskommunikation In Kooperation mit Überwachung von Unternehmenskommunikation Am Beispiel von SSL Verbindungen Münchner Fachanwaltstag IT-Recht Übersicht Überwachung von Unternehmenskommunikation Warum Überwachung? Technische

Mehr

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein?

Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Gebäudeautomatisation mit IPv6 - Praxis holt die Theorie ein? Nach einer Projektarbeit von M. Bitzi und M. Häfliger HSLU T&A in Zusammenarbeit mit Siemens BT (begleitet durch P. Infanger) Einleitung Projektarbeit

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet

Aufbau des Internets. Nelson & Bruno Quellen: Netplanet Aufbau des Internets Nelson & Bruno Quellen: Netplanet Inhaltsverzeichnis Arten von Netzwerken Host-Architekturen Schichtenmodelle TCP/IP - Haussprache des Internet Übertragung im Netz Routing Topologie

Mehr

IPv6. Stand: 20.5.2012. 2012 Datapark AG

IPv6. Stand: 20.5.2012. 2012 Datapark AG IPv6 Stand: 20.5.2012 Inhalt Wer ist die Datapark AG Wieso IPv6, Vorteile IPv6 Adressraum, IPv6 Adressaufbau Migrationsvarianten IPv6g Dual Stack IPv6 IPv4/IPv6 Tunneling Vorgehensweise Migration IPv6

Mehr

Ethernet Switching und VLAN s mit Cisco. Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh.

Ethernet Switching und VLAN s mit Cisco. Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh. Ethernet Switching und VLAN s mit Cisco Markus Keil IBH Prof. Dr. Horn GmbH Gostritzer Str. 61-63 01217 Dresden http://www.ibh.de/ info@ibh.de Der klassische Switch Aufgaben: Segmentierung belasteter Netzwerke

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Chapter 9 Troubleshooting. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von

Chapter 9 Troubleshooting. CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Chapter 9 Troubleshooting CCNA 2 version 3.0 Wolfgang Riggert, FH Flensburg auf der Grundlage von Rick Graziani Cabrillo College Vorbemerkung Die englische Originalversion finden Sie unter : http://www.cabrillo.cc.ca.us/~rgraziani/

Mehr

Leistungsbeschreibung blizzneteos Version: 2.1

Leistungsbeschreibung blizzneteos Version: 2.1 Leistungsbeschreibung blizzneteos Version: 2.1 Bankverbindung: Wien Energie GmbH FN 215854h UniCredit Bank Austria AG Thomas-Klestil-Platz 14 1030 Wien Handelsgericht Wien Konto-Nr.: 696 216 001 Postfach

Mehr

Erneuerung und Erweiterung des aktiven Lokalen Netzes des Flughafens Köln Bonn

Erneuerung und Erweiterung des aktiven Lokalen Netzes des Flughafens Köln Bonn Auftraggeber: Flughafen Köln Bonn GmbH Maßnahme: Erneuerung und Erweiterung des aktiven Lokalen Netzes des Flughafens Köln Bonn Erläuterungen zu Abschnitt II.2.1 Überblick des Leistungsumfangs für Bieter

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Technisches Konzept "Halbautomatische Wartungsanzeige"

Technisches Konzept Halbautomatische Wartungsanzeige Technisches Konzept "Halbautomatische Wartungsanzeige" Einleitung Dieses technische Konzept beschreibt im ersten Teil die Problematik, die derzeit während Wartungszeiten oder bei Teilausfällen einer Internet-Anwendung

Mehr

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

VRRP. Bild 004482 zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg. VRRP Virtual Router Redundancy Protocol Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3824540662 Netzwerke auf Basis des Internet Protocol (IP)

Mehr

IP-Adressen und Ports

IP-Adressen und Ports IP-Adressen und Ports Eine Einführung Tina Umlandt Universität Hamburg 2. August 2011 Überblick Präsentationsablauf 1 IP = Internetwork protocol Schematische Darstellung über die Layer IP-Datenpaket (IPv4)

Mehr

Kommunikation mit Zukunft

Kommunikation mit Zukunft Kommunikation mit Zukunft Leistungsfähige Lösungen für Ihr Unternehmen Internet ohne Kompromisse FLEXIBLE LÖSUNGEN Leistungsfähig, zuverlässig und sicher so muss Internet im Betrieb funktionieren. kabelplus

Mehr

VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network LF10 - Betreuen von IT-Systemen Marc Schubert FI05a - BBS1 Mainz Lernfeld 10 Betreuen von IT-Systemen VPN Virtual Private Network Marc Schubert FI05a - BBS1 Mainz Lernfeld 10

Mehr

Inhaltsverzeichnis 1

Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 Über den Verfasser 13 Verwendete Icons 15 Einführung 19 1 Alles über das Cisco Certified Network Associate-Zertifikat 27 1.1 Wie Ihnen dieses Buch bei der Examensvorbereitung helfen

Mehr

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff

4 Netzwerkzugriff. 4.1 Einführung. Netzwerkzugriff 4 Netzwerkzugriff Prüfungsanforderungen von Microsoft: Configuring Network Access o Configure remote access o Configure Network Access Protection (NAP) o Configure network authentication o Configure wireless

Mehr

Computernetze In Brief

Computernetze In Brief Computernetze In Brief Inhaltsverzeichnis: Computernetze...1 In Brief...1 Inhaltsverzeichnis:...2 Routing...3 1. Load Balancing / Load Sharing...3 2. IP ROUTE Befehl...3 3. Classful / Classless...4 4.

Mehr

Umstieg auf eine All-IP Lösung in Unternehmen

Umstieg auf eine All-IP Lösung in Unternehmen Umstieg auf eine All-IP Lösung in Unternehmen Hans-Jürgen Jobst November 2015 Managementforum Digital Agenda Umstellung auf ALL-IP Wie (S)IP die Kommunikationswelt weiter verändert Chancen und Herausforderungen

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN)

Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN) Herzlich Willkommen zum Beitrag: Sichere und wirtschaftliche Standortvernetzung durch Virtuelle Private Netze (VPN) 1 Kurzprofil Informationen zur nicos AG: Gründung im Jahre 2000 Unternehmenssitz in Münster

Mehr

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser.

CARL HANSER VERLAG. Wolfgang Böhmer. VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8. www.hanser. CARL HANSER VERLAG Wolfgang Böhmer VPN - Virtual Private Networks Die reale Welt der virtuellen Netze 3-446-21532-8 www.hanser.de Inhaltsverzeichnis Teil I VPN-Grundlagen und Techniken 1 1 Einleitung 3

Mehr

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling

Modul 6 Virtuelle Private Netze (VPNs) und Tunneling Modul 6 Virtuelle Private Netze (VPNs) und Tunneling M. Leischner Netzmanagement Folie 1 Virtuelle Private Netze Begriffsdefinition Fortsetz. VPNC Definition "A virtual private network (VPN) is a private

Mehr

Grundlagen der Rechnernetze. Internetworking

Grundlagen der Rechnernetze. Internetworking Grundlagen der Rechnernetze Internetworking Übersicht Grundlegende Konzepte Internet Routing Limitierter Adressbereich SS 2012 Grundlagen der Rechnernetze Internetworking 2 Grundlegende Konzepte SS 2012

Mehr